相关英文
item:条目
content:内容
invoke:调用
注意:
1.不区分大小写
2.powershell是面对结构化对象的,命令输出会始终包含你在需要时可使用的额外信息。
powershell脚本运行策略
restricted 仅可执行单个语句不可执行脚本,windows客户系统默认策略 unrestricted 允许所有脚本运行,但会报警,非windows系统必须为该策略 RemoteSigned 除非有有效数字签名,否则只运行本地脚本,不运行网络下载的脚 本,window服务器默认策略 Allsigned 必须有受信任的签名才运行 Default 默认策略 Bypass 没有任何限制的执行,且没有安全提示 Undefined 未设置策略,继承或默认策略
一、常用命令
1.查看powershell版本
get-host $host.version $PSVersiontable.psversion
2.新建目录或文件
仿linux: mkdir 目录名 特性:new-item 目录名 -type directory new-item 文件名 -type file
3.删除目录或文件
仿linux:rm 文件或目录名 特性:remove-item 文件或目录名
4.文本内容操作
get-content 文本文件名 以asill格式显示文件内容 set-content 文本文件名 -value "写入的字符串" 设置文件内容为指定的字符串 add-content 文本文件名 -value "追加的字符串" 向文件末尾追加字符串
二、恶意行为相关命令
1.查看策略
get-executionpolicy
2.修改执行策略
set-executionpolicy 策略类型
3.文件下载
仿linux: wget -uri '网络地址' -outfile "保存的文件名" 特性: Invoke-WebRequesr -uri '网络地址' -outfile "保存的文件名"
4.创建脚本对象进行文件下载
$wc=new-object system.net.webclient; $urls ="网址"; $path="保存路径+文件名"; $wc.DownloadFile($url, $path); 或者 $wc.DownloadData(网址);
5.文件执行
Invoke-Expression "要运行的命令"(该种方法在用char保存恶意程序载入内存时常用) Start-Process 文件名(该种方法在把恶意代码已经下载到磁盘上使用)